Zalecenia dotyczące monitorowania i wykrywania zagrożeń
Dotyczy tego zalecenia listy kontrolnej zabezpieczeń usługi Azure Well-Architected Framework:
SE:10 | Zaimplementuj całościową strategię monitorowania, która opiera się na nowoczesnych mechanizmach wykrywania zagrożeń, które można zintegrować z platformą. Mechanizmy powinny niezawodnie powiadamiać o klasyfikacji i wysyłać sygnały do istniejących procesów SecOps. |
---|
W tym przewodniku opisano zalecenia dotyczące monitorowania i wykrywania zagrożeń. Monitorowanie to zasadniczo proces uzyskiwania informacji o zdarzeniach, które już wystąpiły. Monitorowanie zabezpieczeń to praktyka przechwytywania informacji na różnych wysokościach obciążenia (infrastruktury, aplikacji, operacji) w celu uzyskania świadomości podejrzanych działań. Celem jest przewidywanie zdarzeń i uczenie się na podstawie przeszłych zdarzeń. Dane monitorowania zapewniają podstawę analizy po zdarzeniu, co miało miejsce, aby pomóc w reagowaniu na zdarzenia i badaniach kryminalistycznych.
Monitorowanie to podejście do doskonałości operacyjnej stosowane we wszystkich filarach platformy Well-Architected Framework. Ten przewodnik zawiera zalecenia tylko z perspektywy zabezpieczeń. Ogólne pojęcia dotyczące monitorowania, takie jak instrumentacja kodu, zbieranie danych i analiza, są poza zakresem tego przewodnika. Aby uzyskać informacje na temat podstawowych pojęć związanych z monitorowaniem, zobacz Zalecenia dotyczące projektowania i tworzenia struktury wglądu.
Definicje
Okres | Definicja |
---|---|
Dzienniki inspekcji | Rekord działań w systemie. |
Zarządzanie informacjami o zabezpieczeniach i zdarzeniami (SIEM) | Podejście, które korzysta z wbudowanych funkcji wykrywania zagrożeń i analizy na podstawie danych zagregowanych z wielu źródeł. |
Wykrywanie zagrożeń | Strategia wykrywania odchyleń od oczekiwanych akcji przy użyciu zebranych, przeanalizowanych i skorelowanych danych. |
Analiza zagrożeń | Strategia interpretacji danych wykrywania zagrożeń w celu wykrywania podejrzanych działań lub zagrożeń przez badanie wzorców. |
Zapobieganie zagrożeniom | Mechanizmy kontroli zabezpieczeń umieszczone w obciążeniu na różnych wysokościach, aby chronić swoje zasoby. |
Kluczowe strategie projektowania
Głównym celem monitorowania zabezpieczeń jest wykrywanie zagrożeń. Głównym celem jest zapobieganie potencjalnym naruszeniom zabezpieczeń i utrzymanie bezpiecznego środowiska. Jednak równie ważne jest, aby uznać, że nie wszystkie zagrożenia mogą być blokowane z preemptively. W takich przypadkach monitorowanie służy również jako mechanizm identyfikowania przyczyny zdarzenia zabezpieczeń, który wystąpił pomimo działań zapobiegawczych.
Monitorowanie można podejść z różnych perspektyw:
Monitoruj na różnych wysokościach. Obserwowanie z różnych wysokości to proces uzyskiwania informacji o przepływach użytkownika, dostępie do danych, tożsamościach, sieciach, a nawet systemie operacyjnym. Każdy z tych obszarów oferuje unikatowe szczegółowe informacje, które mogą pomóc w zidentyfikowaniu odchyleń od oczekiwanych zachowań ustanowionych względem punktu odniesienia zabezpieczeń. Z drugiej strony ciągłe monitorowanie systemu i aplikacji w czasie może pomóc w ustaleniu tego stanu punktu odniesienia. Na przykład co godzinę w systemie tożsamości może być wyświetlanych około 1000 prób logowania. Jeśli monitorowanie wykryje skok 50 000 prób logowania w krótkim okresie, osoba atakująca może próbować uzyskać dostęp do systemu.
Monitoruj w różnych zakresach wpływu. Obserwowanie aplikacji i platformy ma kluczowe znaczenie. Załóżmy, że użytkownik aplikacji przypadkowo otrzymuje eskalowane uprawnienia lub występuje naruszenie zabezpieczeń. Jeśli użytkownik wykonuje akcje poza wyznaczonym zakresem, wpływ może być ograniczony do akcji, które mogą wykonywać inni użytkownicy.
Jeśli jednak jednostka wewnętrzna naruszy bezpieczeństwo bazy danych, zakres potencjalnych szkód jest niepewny.
W przypadku naruszenia zabezpieczeń po stronie zasobu platformy Azure może to mieć wpływ na wszystkie jednostki, które wchodzą w interakcję z zasobem.
Zakres promienia wybuchu lub wpływu może się znacznie różnić w zależności od tego, który z tych scenariuszy występuje.
Użyj wyspecjalizowanych narzędzi do monitorowania. Niezwykle ważne jest inwestowanie w wyspecjalizowane narzędzia , które mogą stale skanować pod kątem nietypowego zachowania, które może wskazywać na atak. Większość z tych narzędzi ma możliwości analizy zagrożeń , które mogą wykonywać analizę predykcyjną na podstawie dużej ilości danych i znanych zagrożeń. Większość narzędzi nie jest bezstanowa i zawiera szczegółowe informacje na temat telemetrii w kontekście zabezpieczeń.
Narzędzia muszą być zintegrowane z platformą lub co najmniej świadome platformy, aby uzyskać głębokie sygnały z platformy i przewidywać z wysoką wiernością. Muszą oni mieć możliwość generowania alertów w odpowiednim czasie z wystarczającą ilością informacji, aby przeprowadzić właściwą klasyfikację. Użycie zbyt wielu różnych narzędzi może prowadzić do złożoności.
Użyj monitorowania na potrzeby reagowania na zdarzenia. Zagregowane dane, przekształcone w analizę z możliwością działania, umożliwiają szybkie i skuteczne reakcje na incydenty . Monitorowanie pomaga w działaniach wykonywanych po zdarzeniu. Celem jest zebranie wystarczającej ilości danych do przeanalizowania i zrozumienia, co się stało. Proces monitorowania przechwytuje informacje na temat przeszłych zdarzeń, aby zwiększyć możliwości reaktywne i potencjalnie przewidzieć przyszłe zdarzenia.
W poniższych sekcjach przedstawiono zalecane rozwiązania, które obejmują poprzednie perspektywy monitorowania.
Przechwytywanie danych w celu zachowania śladu działań
Celem jest utrzymanie kompleksowego dziennika inspekcji zdarzeń, które są istotne z perspektywy zabezpieczeń. Rejestrowanie jest najczęstszym sposobem przechwytywania wzorców dostępu. Rejestrowanie musi być wykonywane dla aplikacji i platformy.
W przypadku dziennika inspekcji należy ustalić, co, kiedy i kto jest skojarzony z akcjami. Należy zidentyfikować określone przedziały czasu po wykonaniu akcji. Dokonaj tej oceny w modelowaniu zagrożeń. Aby przeciwdziałać zagrożeniu przed odrzuceniem, należy ustanowić silne systemy rejestrowania i inspekcji, które powodują zapis działań i transakcji.
W poniższych sekcjach opisano przypadki użycia niektórych typowych wysokości obciążenia.
Przepływy użytkownika aplikacji
Aplikacja powinna być zaprojektowana w celu zapewnienia widoczności środowiska uruchomieniowego w przypadku wystąpienia zdarzeń. Zidentyfikuj punkty krytyczne w aplikacji i ustanów rejestrowanie dla tych punktów. Na przykład gdy użytkownik loguje się do aplikacji, przechwytuje tożsamość użytkownika, lokalizację źródłową i inne istotne informacje. Ważne jest, aby potwierdzić każdą eskalację uprawnień użytkownika, akcje wykonywane przez użytkownika oraz to, czy użytkownik uzyskiwał dostęp do poufnych informacji w bezpiecznym magazynie danych. Śledź działania dla użytkownika i sesji użytkownika.
Aby ułatwić śledzenie, kod powinien być instrumentowany za pośrednictwem rejestrowania strukturalnego. Umożliwia to łatwe i jednolite wykonywanie zapytań i filtrowanie dzienników.
Ważne
Musisz wymusić odpowiedzialne rejestrowanie, aby zachować poufność i integralność systemu. Wpisy tajne i poufne dane nie mogą być wyświetlane w dziennikach. Podczas przechwytywania tych danych dziennika należy pamiętać o wycieku danych osobowych i innych wymagań dotyczących zgodności.
Monitorowanie tożsamości i dostępu
Zachowaj dokładny rejestr wzorców dostępu dla aplikacji i modyfikacji zasobów platformy. Mają niezawodne dzienniki aktywności i mechanizmy wykrywania zagrożeń, szczególnie w przypadku działań związanych z tożsamościami, ponieważ osoby atakujące często próbują manipulować tożsamościami w celu uzyskania nieautoryzowanego dostępu.
Zaimplementuj kompleksowe rejestrowanie przy użyciu wszystkich dostępnych punktów danych. Na przykład uwzględnij adres IP klienta, aby odróżnić regularną aktywność użytkownika i potencjalne zagrożenia związane z nieoczekiwanymi lokalizacjami. Wszystkie zdarzenia rejestrowania powinny być znacznikami czasu serwera.
Rejestruj wszystkie działania dostępu do zasobów, przechwytując, kto robi to, co i kiedy to robi. Wystąpienia eskalacji uprawnień to znaczący punkt danych, który powinien być rejestrowany. Akcje związane z tworzeniem lub usuwaniem konta przez aplikację muszą być również rejestrowane. To zalecenie dotyczy wpisów tajnych aplikacji. Monitoruj, kto uzyskuje dostęp do wpisów tajnych i kiedy są obracane.
Chociaż rejestrowanie udanych akcji jest ważne, rejestrowanie błędów jest konieczne z perspektywy zabezpieczeń. Udokumentowanie wszelkich naruszeń, takich jak próba wykonania akcji przez użytkownika, ale napotkanie błędu autoryzacji, próby dostępu dla nieistniejących zasobów i inne akcje, które wydają się podejrzane.
Monitorowanie sieci
Monitorując pakiety sieciowe i ich źródła, miejsca docelowe i struktury, uzyskujesz wgląd w wzorce dostępu na poziomie sieci.
Projekt segmentacji powinien umożliwiać punktom obserwacji na granicach monitorowanie tego, co je przekracza, i rejestrować te dane. Na przykład monitoruj podsieci z sieciowymi grupami zabezpieczeń, które generują dzienniki przepływu. Monitoruj również dzienniki zapory, które pokazują przepływy, które były dozwolone lub blokowane.
Istnieją dzienniki dostępu dla żądań połączeń przychodzących. Te dzienniki rejestrują źródłowe adresy IP, które inicjują żądania, typ żądania (GET, POST) i wszystkie inne informacje, które są częścią żądań.
Przechwytywanie przepływów DNS jest istotnym wymaganiem dla wielu organizacji. Na przykład dzienniki DNS mogą pomóc w zidentyfikowaniu użytkownika lub urządzenia zainicjowanego określonego zapytania DNS. Dzięki korelowaniu aktywności DNS z dziennikami uwierzytelniania użytkowników/urządzeń można śledzić działania poszczególnych klientów. Ta odpowiedzialność często rozciąga się na zespół obciążeń, zwłaszcza jeśli wdrażają elementy, które wysyłają żądania DNS do części swojej operacji. Analiza ruchu DNS jest kluczowym aspektem obserwacji zabezpieczeń platformy.
Ważne jest, aby monitorować nieoczekiwane żądania DNS lub żądania DNS kierowane do znanych punktów końcowych poleceń i kontroli.
Kompromis: Rejestrowanie wszystkich działań sieciowych może spowodować dużą ilość danych. Każde żądanie z warstwy 3 można rejestrować w dzienniku przepływu, w tym każdej transakcji, która przekracza granicę podsieci. Niestety, nie można przechwytywać tylko zdarzeń niepożądanych, ponieważ można je zidentyfikować tylko po ich wystąpieniu. Podejmowanie strategicznych decyzji dotyczących typu zdarzeń, które mają być przechwytywane i jak długo je przechowywać. Jeśli nie jesteś ostrożny, zarządzanie danymi może być przytłaczające. Istnieje również kompromis kosztów przechowywania tych danych.
Ze względu na kompromisy należy rozważyć, czy korzyść z monitorowania sieci obciążenia jest wystarczająca, aby uzasadnić koszty. Jeśli masz rozwiązanie aplikacji internetowej z dużą ilością żądań, a system korzysta z zarządzanych zasobów platformy Azure, koszt może przewyższać korzyści. Z drugiej strony, jeśli masz rozwiązanie przeznaczone do używania maszyn wirtualnych z różnymi portami i aplikacjami, ważne może być przechwytywanie i analizowanie dzienników sieciowych.
Przechwytywanie zmian systemu
Aby zachować integralność systemu, należy mieć dokładny i aktualny rekord stanu systemu. Jeśli istnieją zmiany, możesz użyć tego rekordu, aby szybko rozwiązać wszelkie występujące problemy.
Procesy kompilacji powinny również emitować dane telemetryczne. Zrozumienie kontekstu zabezpieczeń zdarzeń jest kluczem. Znajomość tego, co wyzwoliło proces kompilacji, kto go wyzwolił, i kiedy został wyzwolony, może zapewnić cenne szczegółowe informacje.
Śledź , kiedy zasoby są tworzone i kiedy są likwidowane. Te informacje muszą zostać wyodrębnione z platformy. Te informacje zawierają cenne informacje dotyczące zarządzania zasobami i odpowiedzialności.
Monitorowanie dryfu w konfiguracji zasobów. Dokumentowanie wszelkich zmian w istniejącym zasobie. Należy również śledzić zmiany, które nie są kompletne w ramach wdrożenia do floty zasobów. Dzienniki muszą przechwytywać szczegóły zmiany i dokładny czas jego wystąpienia.
Kompleksowa perspektywa stosowania poprawek pozwala określić, czy system jest aktualny i bezpieczny. Monitoruj rutynowe procesy aktualizacji , aby sprawdzić, czy zostały one ukończone zgodnie z planem. Proces stosowania poprawek zabezpieczeń, który nie został ukończony, powinien zostać uznany za lukę w zabezpieczeniach. Należy również zachować spis, który rejestruje poziomy poprawek i wszelkie inne wymagane szczegóły.
Wykrywanie zmian dotyczy również systemu operacyjnego. Obejmuje to śledzenie, czy usługi są dodawane, czy wyłączone. Obejmuje również monitorowanie dodawania nowych użytkowników do systemu. Istnieją narzędzia przeznaczone do określania celu systemu operacyjnego. Pomagają one w monitorowaniu bez kontekstu w sensie, że nie są one przeznaczone dla funkcji obciążenia. Na przykład monitorowanie integralności plików to krytyczne narzędzie, które umożliwia śledzenie zmian w plikach systemowych.
Należy skonfigurować alerty dotyczące tych zmian, szczególnie jeśli nie spodziewasz się ich często.
Ważne
Podczas wdrażania w środowisku produkcyjnym upewnij się, że alerty są skonfigurowane do przechwytywania nietypowych działań wykrytych w zasobach aplikacji i procesie kompilacji.
W planach testów uwzględnij weryfikację rejestrowania i alertów jako priorytetowe przypadki testowe.
Przechowywanie, agregowanie i analizowanie danych
Dane zebrane z tych działań monitorowania muszą być przechowywane w ujściach danych, gdzie można je dokładnie zbadać, znormalizować i skorelować. Dane zabezpieczeń powinny być utrwalane poza własnymi magazynami danych systemu. Ujścia monitorowania, niezależnie od tego, czy są zlokalizowane, czy centralne, muszą przetrwać źródła danych. Ujścia nie mogą być efemeryczne, ponieważ ujścia są źródłem systemów wykrywania włamań.
Dzienniki sieciowe mogą być pełne i zajmują miejsce do magazynowania. Poznaj różne warstwy w systemach magazynowania. Dzienniki mogą naturalnie przechodzić do chłodniejszego magazynu w czasie. Takie podejście jest korzystne, ponieważ starsze dzienniki przepływów zwykle nie są aktywnie używane i są potrzebne tylko na żądanie. Ta metoda zapewnia wydajne zarządzanie magazynem, zapewniając jednocześnie dostęp do danych historycznych, gdy zajdzie taka potrzeba.
Przepływy obciążenia są zazwyczaj złożone z wielu źródeł rejestrowania. Dane monitorowania muszą być analizowane inteligentnie we wszystkich tych źródłach. Na przykład zapora będzie blokować tylko ruch, który do niego dociera. Jeśli masz sieciową grupę zabezpieczeń, która zablokowała już określony ruch, ten ruch nie jest widoczny dla zapory. Aby odtworzyć sekwencję zdarzeń, należy agregować dane ze wszystkich składników, które są w przepływie, a następnie agregować dane ze wszystkich przepływów. Te dane są szczególnie przydatne w scenariuszu reagowania po zdarzeniu, gdy próbujesz zrozumieć, co się stało. Dokładne przechowywanie czasu jest niezbędne. W celach bezpieczeństwa wszystkie systemy muszą używać źródła czasu sieciowego, aby zawsze były zsynchronizowane.
Scentralizowane wykrywanie zagrożeń za pomocą skorelowanych dzienników
Możesz użyć systemu, takiego jak zarządzanie informacjami o zabezpieczeniach i zdarzeniami (SIEM), aby skonsolidować dane zabezpieczeń w centralnej lokalizacji , w której można je skorelować między różnymi usługami. Systemy te mają wbudowane mechanizmy wykrywania zagrożeń . Mogą łączyć się z zewnętrznymi źródłami danych w celu uzyskania danych analizy zagrożeń. Firma Microsoft publikuje na przykład dane analizy zagrożeń, których można użyć. Możesz również kupić źródła danych analizy zagrożeń od innych dostawców, takich jak Anomali i FireEye. Te kanały informacyjne mogą zapewnić cenne szczegółowe informacje i zwiększyć poziom zabezpieczeń. Aby uzyskać szczegółowe informacje o zagrożeniach firmy Microsoft, zobacz Insider zabezpieczeń.
System SIEM może generować alerty na podstawie skorelowanych i znormalizowanych danych. Te alerty są istotnym zasobem podczas procesu reagowania na zdarzenia.
Kompromis: systemy SIEM mogą być kosztowne, złożone i wymagają wyspecjalizowanych umiejętności. Jeśli jednak go nie masz, może być konieczne skorelowanie danych samodzielnie. Może to być czasochłonny i złożony proces.
Systemy SIEM są zwykle zarządzane przez centralne zespoły organizacji. Jeśli twoja organizacja nie ma tej organizacji, rozważ jej poparcie. Może to złagodzić obciążenie ręcznej analizy dzienników i korelacji, aby umożliwić bardziej wydajne i skuteczne zarządzanie zabezpieczeniami.
Niektóre ekonomiczne opcje są udostępniane przez firmę Microsoft. Wiele Microsoft Defender produktów zapewnia funkcjonalność alertów systemu SIEM, ale bez funkcji agregacji danych.
Łącząc kilka mniejszych narzędzi, można emulować niektóre funkcje systemu SIEM. Należy jednak wiedzieć, że te prowizorycznie rozwiązania mogą nie być w stanie przeprowadzić analizy korelacji. Te alternatywy mogą być przydatne, ale mogą nie w pełni zastąpić funkcji dedykowanego systemu SIEM.
Wykrywanie nadużyć
Bądź proaktywny w zakresie wykrywania zagrożeń i czujny pod kątem oznak nadużyć, takich jak ataki siłowe tożsamości na składnik SSH lub punkt końcowy protokołu RDP. Chociaż zagrożenia zewnętrzne mogą generować dużo szumu, zwłaszcza jeśli aplikacja jest uwidoczniona w Internecie, zagrożenia wewnętrzne są często większym problemem. Na przykład należy natychmiast zbadać nieoczekiwany atak siłowy ze źródła zaufanej sieci lub nieumyślnego błędu konfiguracji.
Nadążaj za praktykami dotyczącymi wzmacniania zabezpieczeń. Monitorowanie nie jest substytutem proaktywnego wzmacniania środowiska. Większy obszar powierzchni jest podatny na więcej ataków. Dokręć kontrolki tak samo jak praktyka. Wykrywanie i wyłączanie nieużywanych kont, usuwanie nieużywanych portów i używanie zapory aplikacji internetowej, na przykład. Aby uzyskać więcej informacji na temat technik wzmacniania zabezpieczeń, zobacz Zalecenia dotyczące wzmacniania zabezpieczeń.
Wykrywanie oparte na sygnaturach może szczegółowo sprawdzać system. Obejmuje to wyszukiwanie znaków lub korelacji między działaniami, które mogą wskazywać na potencjalny atak. Mechanizm wykrywania może identyfikować pewne cechy wskazujące na określony typ ataku. Nie zawsze może być możliwe bezpośrednie wykrywanie mechanizmu poleceń i kontroli ataku. Jednak często występują wskazówki lub wzorce skojarzone z konkretnym procesem poleceń i sterowania. Na przykład atak może być wskazywany przez pewną szybkość przepływu z perspektywy żądania lub często uzyskiwać dostęp do domen, które mają określone zakończenia.
Wykrywanie nietypowych wzorców dostępu użytkowników , dzięki czemu można identyfikować i badać odchylenia od oczekiwanych wzorców. Obejmuje to porównanie bieżącego zachowania użytkownika z zachowaniem przeszłości w celu wykrywania anomalii. Chociaż wykonanie tego zadania może nie być możliwe ręcznie, możesz użyć narzędzi do analizy zagrożeń, aby to zrobić. Zainwestuj w narzędzia analizy zachowań użytkowników i jednostek (UEBA), które zbierają zachowanie użytkownika z danych monitorowania i analizują je. Te narzędzia mogą często wykonywać analizę predykcyjną, która mapuje podejrzane zachowania na potencjalne typy ataków.
Wykrywanie zagrożeń podczas etapów przed wdrożeniem i po wdrożeniu. W fazie wdrażania wstępnego uwzględnij skanowanie luk w zabezpieczeniach w potokach i podejmij niezbędne działania na podstawie wyników. Po wdrożeniu nadal przeprowadzaj skanowanie luk w zabezpieczeniach. Możesz użyć narzędzi, takich jak Microsoft Defender for Containers, które skanują obrazy kontenerów. Uwzględnij wyniki w zebranych danych. Aby uzyskać informacje na temat bezpiecznych rozwiązań programistycznych, zobacz Zalecenia dotyczące korzystania z bezpiecznych praktyk wdrażania.
Korzystaj z mechanizmów wykrywania i miar udostępnianych przez platformę. Na przykład Azure Firewall może analizować ruch i blokować połączenia z niezaufanym miejscem docelowym. Platforma Azure udostępnia również sposoby wykrywania i ochrony przed atakami typu "odmowa usługi" (DDoS).
Ułatwienia platformy Azure
Usługa Azure Monitor zapewnia wgląd w całe środowisko. Bez konfiguracji automatycznie uzyskujesz metryki platformy, dzienniki aktywności i dzienniki diagnostyczne z większości zasobów platformy Azure. Dzienniki aktywności zawierają szczegółowe informacje diagnostyczne i inspekcji.
Uwaga
Dzienniki platformy nie są dostępne na czas nieokreślony. Należy je zachować, aby można było je później przejrzeć do celów inspekcji lub analizy w trybie offline. Użyj kont usługi Azure Storage na potrzeby długoterminowego/archiwizacji magazynu. W usłudze Azure Monitor określ okres przechowywania po włączeniu ustawień diagnostycznych dla zasobów.
Skonfiguruj alerty na podstawie wstępnie zdefiniowanych lub niestandardowych metryk i dzienników, aby otrzymywać powiadomienia w przypadku wykrycia określonych zdarzeń lub anomalii związanych z zabezpieczeniami.
Aby uzyskać więcej informacji, zobacz dokumentację usługi Azure Monitor.
Microsoft Defender for Cloud zapewnia wbudowane możliwości wykrywania zagrożeń. Działa on na zebranych danych i analizuje dzienniki. Ponieważ jest świadomy typów generowanych dzienników, może użyć wbudowanych reguł do podejmowania świadomych decyzji. Na przykład sprawdza listy potencjalnie naruszonych adresów IP i generuje alerty.
Włącz wbudowane usługi ochrony przed zagrożeniami dla zasobów platformy Azure. Na przykład włącz Microsoft Defender dla zasobów platformy Azure, takich jak maszyny wirtualne, bazy danych i kontenery, w celu wykrywania i ochrony przed znanymi zagrożeniami.
Usługa Defender for Cloud zapewnia możliwości platformy ochrony obciążeń w chmurze (CWPP) na potrzeby wykrywania zagrożeń wszystkich zasobów obciążeń.
Aby uzyskać więcej informacji, zobacz Co to jest Microsoft Defender dla chmury?.
Alerty generowane przez usługę Defender mogą również być wprowadzane do systemów SIEM. Microsoft Sentinel to natywna oferta. Używa sztucznej inteligencji i uczenia maszynowego do wykrywania zagrożeń bezpieczeństwa i reagowania na nie w czasie rzeczywistym. Zapewnia scentralizowany widok danych zabezpieczeń i ułatwia proaktywne wyszukiwanie zagrożeń i badanie.
Aby uzyskać więcej informacji, zobacz Co to jest usługa Microsoft Sentinel?.
Usługa Microsoft Sentinel może również używać źródeł analizy zagrożeń z różnych źródeł. Aby uzyskać więcej informacji, zobacz Integracja analizy zagrożeń w usłudze Microsoft Sentinel.
Usługa Microsoft Sentinel może analizować zachowanie użytkownika na podstawie danych monitorowania. Aby uzyskać więcej informacji, zobacz Identyfikowanie zaawansowanych zagrożeń za pomocą analizy zachowań użytkowników i jednostek (UEBA) w usłudze Microsoft Sentinel.
Usługa Defender i usługa Microsoft Sentinel współpracują ze sobą, mimo że niektóre nakładają się na siebie funkcje. Ta współpraca zwiększa ogólny poziom zabezpieczeń, pomagając zapewnić kompleksowe wykrywanie zagrożeń i reagowanie na nie.
Skorzystaj z centrum ciągłości działania platformy Azure , aby zidentyfikować luki w infrastrukturze ciągłości działalności biznesowej i chronić przed zagrożeniami, takimi jak ataki wymuszające okup, złośliwe działania i nieautoryzacyjne zdarzenia administratora. Aby uzyskać więcej informacji, zobacz Co to jest Centrum ciągłości działania platformy Azure?.
Sieć
Przejrzyj wszystkie dzienniki, w tym nieprzetworzonego ruchu z urządzeń sieciowych.
Dzienniki grup zabezpieczeń. Przejrzyj dzienniki przepływu i dzienniki diagnostyczne.
Azure Network Watcher. Korzystaj z funkcji przechwytywania pakietów , aby ustawić alerty i uzyskać dostęp do informacji o wydajności w czasie rzeczywistym na poziomie pakietu.
Przechwytywanie pakietów śledzi ruch w i z maszyn wirtualnych. Można go użyć do uruchamiania proaktywnych przechwytywania na podstawie zdefiniowanych anomalii sieci, w tym informacji o włamaniach sieciowych.
Aby zapoznać się z przykładem, zobacz Monitorowanie sieci proaktywnie przy użyciu alertów i Azure Functions przy użyciu funkcji przechwytywania pakietów.
Tożsamość
Monitorowanie zdarzeń ryzyka związanych z tożsamościami na potencjalnie naruszonych tożsamościach i korygowanie tych zagrożeń. Przejrzyj zgłoszone zdarzenia o podwyższonym ryzyku w następujący sposób:
Użyj Tożsamość Microsoft Entra raportowania. Aby uzyskać więcej informacji, zobacz Co to jest usługa Identity Protection? i Usługa Identity Protection.
Użyj członków interfejsu API wykrywania ryzyka usługi Identity Protection, aby uzyskać programowy dostęp do wykrywania zabezpieczeń za pośrednictwem programu Microsoft Graph. Aby uzyskać więcej informacji, zobacz riskDetection i riskyUser.
Tożsamość Microsoft Entra używa adaptacyjnego algorytmu uczenia maszynowego, heurystyki i znanych poświadczeń naruszonych (nazw użytkowników i par haseł) do wykrywania podejrzanych akcji związanych z kontami użytkowników. Te pary nazw użytkowników i haseł są udostępniane przez monitorowanie publicznej i ciemnej sieci oraz przez współpracę z badaczami ds. zabezpieczeń, organami ścigania, zespołami ds. zabezpieczeń w firmie Microsoft i innymi osobami.
Azure Pipelines
Metodyka DevOps opowiada się za zarządzaniem zmianami obciążeń za pośrednictwem ciągłej integracji i ciągłego dostarczania (CI/CD). Pamiętaj, aby dodać walidację zabezpieczeń w potokach. Postępuj zgodnie ze wskazówkami opisanymi w temacie Zabezpieczanie usługi Azure Pipelines.
Linki pokrewne
- Zalecenia dotyczące projektowania i tworzenia struktury obserwacji
- Niejawny tester zabezpieczeń
- Zalecenia dotyczące wzmacniania zabezpieczeń zasobów
- Zalecenia dotyczące korzystania z bezpiecznych praktyk wdrażania
- Dokumentacja usługi Azure Monitor
- Co to jest Microsoft Defender dla chmury?
- Co to jest usługa Microsoft Sentinel?
- Integracja analizy zagrożeń w usłudze Microsoft Sentinel
- Identyfikowanie zaawansowanych zagrożeń za pomocą analizy zachowań użytkowników i jednostek (UEBA) w usłudze Microsoft Sentinel
- Samouczek: Rejestrowanie przepływów ruchu sieciowego do i z maszyny wirtualnej przy użyciu witryny Azure Portal
- Przechwytywanie pakietów
- Proaktywne monitorowanie sieci przy użyciu alertów i Azure Functions przy użyciu funkcji przechwytywania pakietów
- Co to jest ochrona tożsamości?
- Identity Protection
- riskDetection
- ryzykowny użytkownik
- Dowiedz się, jak dodać ciągłą walidację zabezpieczeń do potoku ciągłej integracji/ciągłego wdrażania
Lista kontrolna zabezpieczeń
Zapoznaj się z pełnym zestawem zaleceń.